ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В сентябре 2025 года компания Anthropic сообщила, что злоумышленник, действующий при поддержке государства, использовал ИИ-агент для проведения автономной кампании кибершпионажа против 30 целей по всему миру. ИИ самостоятельно выполнял 80–90 % тактических операций, осуществляя разведку, создавая код эксплойтов и предпринимая попытки латерального перемещения со скоростью, сравнимой со скоростью работы компьютера.

Этот инцидент вызывает беспокойство, но есть сценарий, который должен беспокоить команды безопасности еще больше: злоумышленник, которому вообще не нужно проходить через цепочку атак, потому что он скомпрометировал ИИ-агента, который уже находится внутри вашей среды. Агента, который уже имеет доступ, разрешения и законное основание для ежедневного перемещения по вашим системам.

Структура, созданная для угроз со стороны людей

Традиционная кибер-цепочка атак предполагает, что злоумышленникам приходится завоевывать каждый сантиметр доступа. Эта модель, разработанная Lockheed Martin в 2011 году для описания того, как злоумышленники продвигаются от первоначального взлома к своей конечной цели, с тех пор определяет подход команд безопасности к обнаружению.

Логика проста: злоумышленникам необходимо выполнить последовательность шагов, а защитники могут прервать цепочку в любой точке. Каждый этап, который должен пройти злоумышленник, — это еще одна возможность поймать его.

Типичное вторжение проходит через несколько четких этапов:

Первоначальный доступ (использование уязвимости и т. д.)

Удержание позиций без срабатывания сигналов тревоги

Разведка для изучения среды

Боковое перемещение для доступа к ценным данным

Повышение привилегий, если доступ недостаточен

Вынос данных с обходом средств контроля DLP

Каждый этап создает возможности для обнаружения: средства защиты конечных точек могут перехватить исходный полезный груз, мониторинг сети может обнаружить необычное латеральное перемещение, системы идентификации могут пометить повышение привилегий, а корреляции SIEM могут связать воедино аномальное поведение в разных системах. Чем больше шагов предпринимает злоумышленник, тем больше шансов, что он натолкнется на препятствие.

Именно поэтому такие продвинутые злоумышленники, как LUCR-3 и APT29, вкладывают огромные средства в скрытность, неделями питаясь «плодами земли» и маскируясь под обычный трафик. Но даже в этом случае они оставляют следы: необычные места входа в систему, странные схемы доступа, небольшие отклонения от базового поведения. Именно для обнаружения таких следов и созданы современные системы обнаружения.

Проблема здесь, однако, заключается в том, что агенты ИИ на самом деле не следуют этому сценарию.

Агенты ИИ работают принципиально иначе, чем пользователи-люди. Они работают в разных системах, перемещают данные между приложениями и работают непрерывно. В случае взлома злоумышленник обходит всю цепочку атак — сам агент становится этой цепочкой.

Подумайте, к чему обычно имеет доступ агент ИИ. Его история активности — это идеальная карта того, какие данные существуют и где они находятся. Вероятно, он извлекает данные из Salesforce, отправляет их в Slack, синхронизируется с Google Drive и обновляет ServiceNow в рамках своего обычного рабочего процесса. При развертывании ему были предоставлены широкие права, часто доступ на уровне администратора к нескольким приложениям, и он уже перемещает данные между системами в рамках своей работы.

Злоумышленник, взломавший этот агент, мгновенно получает все это. Он получает карту, доступ, разрешения и законное основание для перемещения данных. Каждый этап цепочки атак, обнаружению которых команды безопасности учились годами? Агент по умолчанию пропускает их все.

Кризис с OpenClaw показал нам, как это выглядит на практике:

Примерно 12% навыков на его публичном рынке были вредоносными. Критическая уязвимость RCE позволяла взломать систему одним щелчком. Более 21 000 экземпляров были публично раскрыты. Но самое страшное заключалось в том, к чему мог получить доступ взломанный агент после подключения к Slack и Google Workspace: сообщения, файлы, электронные письма и документы, с постоянной памятью между сессиями.

Основная проблема заключается в том, что инструменты безопасности предназначены для обнаружения аномального поведения. Когда злоумышленник использует существующий рабочий процесс ИИ-агента, все выглядит нормально. Агент получает доступ к системам, к которым он всегда получает доступ, перемещает данные, которые он всегда перемещает, работает в то время, когда он всегда работает.

Именно в этом заключается пробел в обнаружении, с которым сталкиваются команды безопасности.

Защита от взломанных ИИ-агентов начинается с понимания того, какие агенты работают в вашей среде, к чему они подключаются и какими правами обладают. У большинства организаций нет перечня ИИ-агентов, взаимодействующих с их экосистемой SaaS. Именно для решения этой проблемы и был создан Reco.

Решение Agentic AI Security от Reco обнаруживает всех ИИ-агентов, встроенные ИИ-функции и сторонние ИИ-интеграции в вашей среде SaaS, включая теневые ИИ-инструменты, подключенные без одобрения ИТ-отдела.

Рисунок 1: Инвентаризация агентов ИИ от Reco, показывающая обнаруженные агенты и их подключения к GitHub.

Для каждого агента Reco отображает, к каким приложениям SaaS он подключается, какими правами обладает и к каким данным имеет доступ. Визуализация «SaaS-to-SaaS» от Reco точно показывает, как агенты интегрируются в экосистеме ваших приложений, выявляя опасные комбинации, когда агенты ИИ соединяют системы через MCP, OAuth или API-интеграции, создавая нарушения прав доступа, которые ни один владелец приложения не одобрил бы.

Рисунок 2: Граф знаний Reco, выявляющий опасную комбинацию между Slack и Cursor через MCP.

Пометка целей, обеспечение минимальных привилегий

Reco определяет, какие агенты представляют наибольшую угрозу, оценивая объем разрешений, межсистемный доступ и конфиденциальность данных. Агенты, связанные с возникающими рисками, автоматически помечаются. На этом этапе Reco помогает вам оптимизировать доступ с помощью управления идентификацией и доступом, напрямую ограничивая возможности злоумышленника в случае компрометации агента.

Рисунок 3: Проверки состояния безопасности Reco с помощью ИИ, включающие оценки безопасности и результаты проверки соответствия требованиям IAM.

Механизм обнаружения угроз Reco применяет поведенческий анализ, ориентированный на идентичность, к ИИ-агентам так же, как и к человеческим идентичностям, в режиме реального времени отличая нормальную автоматизацию от подозрительных отклонений.